Botconf, dans la maison du botnet

El pasado 6, 7 y 8 de diciembre tuvo lugar en Montpellier la 5ª edición de la Botconf.

Durante los tres días, más de 300 personas asistieron a la conferencia de las botnets por excelencia. Las charlas fueron todas de un alto nivel y se abordaron temas que fueron desde el desarrollo de herramientas para la obtención o clasificación de malware hasta los problemas legales que pueden acarrear la publicación de ciertas evidencias en nuestros descubrimientos.

A continuación se resumen algunas de las más de veinticinco charlas expuestas:

How to Compute the Clusterization of a Very Large Dataset of Malware with Open Source Tools for Fun & Profit

La charla que dio comienzo a la conferencia expuso la necesaria automatización en la clasificación de familias de malware, dado el elevado número de muestras con las que en estos días suelen trabajar los analistas.

Así pues, se nos presentó la implementación de varios algoritmos de Deep Learning para la clusterización de datos a partir del parseo de los resultados de análisis estáticos previos, como también algunos de los problemas surgidos relacionados con la dificultad que todavía supone la gestión de la complejidad por el Big Data.

Get rich or die trying (De APT a NPT)

La presentación de los analistas de CheckPoint se basó en un caso relacionado con la detección de campañas de phishing contra la petrolera Aramco. Lo que en un principio apuntaba a una campaña propia de grupos APT, dado el alto nivel de los objetivos de la campaña, no terminó siendo lo que parecía.

Una extensa arquitectura, y la inclusión de diferentes recursos en su comunicación, contrastaban con la utilización de herramientas comerciales (algo anticuadas por cierto) como ISR Stealer o Hawkeye keylogger, además de datos hardcodeados en las configuraciones, algo que es una técnica impropia de grupos de alto nivel. A través de estos últimos datos, pudieron acceder al mailbox del servidor CnC y descubrir, finalmente, que se trataba de una famosa estafa, siendo finalmente bautizada la amenaza como una NPT (Nigerian Prince Threat).

Exploring a P2P Trasient Botnet

Desde el laboratorio de malware de Morphus se nos presentó cómo, queriendo encontrar trazas de la botnet Mirai, habían encontrado una botnet con arquitectura P2P. Con una simple Raspberry con credenciales por defecto, consiguió descifrar su comunicación a través de la interceptación de los certificados, y detectar dos tipos de nodo. Así pues, elaboró dos estrategias para dimensionar la botnet: la primera fue hacer peticiones a los diferentes nodos; la segunda, a través de comandos internos trataba de convertir su bot en un nodo intermedio. Finalmente, llevó a cabo un experimento con 5 VPS distribuidos por todo el mundo, a través del cual pudo determinar que unos 25.000 dispositivos formaban parte de esta botnet.

RetDec, an Open Source Machine-Code Decompiler

Los analistas de Avast nos presentaron una alternativa a soluciones como Hex-Rays o SnowMan para la decompilación de código.

Este es un proyecto que lleva más de tres años en evolución y que toma Capstone como modelo para abarcar un gran número de arquitecturas. A pesar de ello, la verdadera magia la pone la infraestructura de compilación LLVM, además de incluir en el proceso diferentes parseos y la aplicación de reglas Yara.

A pesar de que, tal y como afirman sus creadores, su estado de madurez es todavía inferior a otras herramientas, ésta ofrece soporte para ARM y MIPS. Está disponible como plugin para IDA aunque el código será publicado durante los próximos días bajo licencia MIT.

Automation of IoT Botnet Takedown by an ISP

Desde OVH nos plantearon la paradoja del proveedor ante un ataque de denegación de servicio, donde muchas veces proporcionan servicios al CnC que está ejecutando las órdenes pero son incapaces de acceder a sus datos y obtener las evidencias que les permitan ejecutar las acciones de bloqueo. Así pues, decidieron abordar el problema automatizando la extracción de las direcciones IP de los servidores CnC de muestras de malware IoT como Mirai o QBot.

A new era of Android banking botnets

En esta charla se expuso la evolución que ha sufrido el malware para los dispositivos Android. Las técnicas que en un principio se basaban en SMS, tanto para la difusión de la botnet utilizando la ingeniera social, como para la comunicación con el servidor CnC, ha ido utilizando métodos más complejos como los popups en aplicaciones legítimas de Google. Pedro Drimel comentó que fue en 2015 el año de la verdadera sofisticación del malware para dispositivos móviles, año a partir del cual se pueden encontrar funciones anti-análisis para la emulación, así como el cifrado en las comunicaciones vía HTTPS.

Hunting Down Gooligan

Presentación surgida por la colaboración entre Checkpoint y Google. Nos presentaron cómo se llevó a cabo la detección y detención del malware llamado Gooligan, el cual hacia uso del robo de oauth para su difusión a través de Google Play, utilizando entre otros, la creación de comentarios y valoraciones a sus aplicaciones fraudulentas. Debido a que el acceso como root lo hacía a través del exploit kingroot (que además únicamente afecta a las versiones 3.x y 4.x), no afectó a todos los fabricantes por igual, centrándose su impacto en India y China. De cara a la solución del incidente, se llevó a cabo la suspensión del servidor, la revocación del token y la notificación a los usuarios.

YANT: Yet Another Nymaim Talk

En esta charla se analizó a bajo nivel las interesantes características del malware que afectó de gran manera a Polonia. Se resaltó la diversidad de las técnicas anti-sandbox, como también el almacenamiento de sus datos cifrados o la ofuscación de funciones internas. Sin embargo, el núcleo de la charla tuvo como objeto la exposición de las técnicas Heaven’s Gate, la hibridación de binarios y la ofuscación de la amenaza a través de ROP.

Augmented Intelligence to Scale Humans Fighting Botnets

El equipo de Akamai expuso la necesidad de automatización de tareas para el descubrimiento de dominios asociados a C2 generados a través de DGA, debido a que los tiempos de vida de éstos van disminuyendo y las limitaciones que surgen desde el análisis mediante ingeniería inversa. Así pues, presentaron cómo a través de la correlación en tiempo real de tráfico DNS, la generación de vectores a nuevos dominios, su clusterización y clasificación les permitió generar inteligencia, llegando incluso a bloquear clusters de dominios zero-day.

Statinko: an adware campaig

La presentación de Statinko ofreció uno de los análisis del malware más profundos de la conferencia, no sólo ofreciendo datos de bajo nivel sino proporcionando en todo momento el contexto de la situación. Desde el laboratorio de ESET se expuso la ocultación de la campaña a través de lo que parecían herramientas de edición de audio mp3, cuyos activos estaban perfectamente relacionados, pues contaban con diversas páginas web así como de repositorios en Github.

A pesar de que se trata de un malware modular con diversas capacidades en función del plugin descargado (puede actuar como RAT o bot de facebook), se basaba principalmente en la ejecución de ataques por fuerza bruta de CMS o la superposición de elementos a través de javascripts para la redirección.

Lighting talks

La tarde del jueves terminó con las lighting talks (o charlas relámpago) donde diez voluntarios elegidos entre los asistentes disponían de 3 minutos para llevar a cabo su presentación. La temática de las mismas era bastante variada, desde herramientas, distribuciones de linux para forense, análisis de malware y sobretodo, el humor aportado por las evidencias encontradas de campañas poco elaboradas.

Formatting for Justice: Crime Doesn’t Pay, Neither Does Rich Text

Desde Palo Alto se nos ofreció una charla sobre el formato de archivo de texto RTF. Indagando en sus capacidades para la ofuscación a través nesting (permitiendo concatenar campos vacíos) o deafault ignore (si no entiende un comando, lo ignora), nos presentó diferentes de sus aplicaciones como, por ejemplo, el CVE 2017-0199. Finalmente expuso diferentes técnicas para la detección de la actividad maliciosa en este tipo de documentos, basado en herramientas como rtfdump, rtfobj, pyRTF y, como no, Yara.

PWS, Common, Ugly but Effective

Esta charla se basó en los diferentes PassWords Stelars disponibles en la actualidad.

Durante la presentación se expusieron cuatro de las herramientas de robo de credenciales más conocidas en la actualidad. Se detalló cómo el stealer de Pony está totalmente escrito en ensamblador y cómo es capaz de robar credenciales de hasta 131 aplicaciones, mientras que de Agent Tesla destacó el autoupdate del builder (con frecuencias de hasta 5 veces al mes para no ser detectado por antivirus). Finalmente, terminó con algunos de los datos para su detección basados en el contenido de los parámetros de las peticiones POST o User-Agents por defecto.

Nyetya Malware & MeDoc connection

Desde Talos nos expusieron la gestión del incidente de Nyetya (o NotPetya) ante la tensión generada sólo semanas antes por WannaCry. Se expuso que no habiendo detectado el incremento del escaneo del puerto 445 o de campañas de phishing, todo apuntaba a un ataque dirigido. A través de los logs de error en el servidor interno, pudieron comprobar que la red interna había sido comprometida y que durante más de un mes y medio, las releases del software MeDoc distribuidas contenían una backdoor. Finalmente se resaltó que las modificaciones incluidas en el módulo de difusión, tanto en el mimikatz como en doblepulsar disminuían la posibilidad de ser detectado.

Math + GPU + DNS = Cracking Locky Seeds in Real Time without Analyzing Samples

De nuevo, los chicos de Akamai nos expusieron la forma de acatar la problemática de la gran actividad de estos últimos años del malware Locky.

Basándose en que el algoritmo DGA de éste ransomware es público, llevaron a cabo la investigación para la detección y bloqueo de los dominios generados.

A pesar que la semilla cambiaba diariamente, al disponer de todo el tráfico DNS, propusieron la solución de detectar diariamente cuáles de los dominios únicos eran nuevos y, junto a la potencia de las GPU, craquear una de las funciones del DGA y conseguir la correlación entre los dominios detectados y sus resultados.

Hunting lateral movement

Los analistas del CERT de Japón nos expusieron su estudio realizado sobre los diferentes análisis publicados sobre 7 APT, cuyo objetivo final era encontrar cuáles de las herramientas habían sido aquellas más utilizadas y la manera de ser rastreadas en una gestión de incidentes. La comparación de la información obtenida a través de los logs Audit del sistema y la herramienta Sysmon, y la explicación de las herramientas utilizadas para evitar el rastreo del atacante fueron algunos de los puntos más interesantes.

Por último, no quería terminar el post sin destacar el buen hacer de la organización de la conferencia, donde se cuidaron todo tipo de detalle, hasta la puntualidad (algo nada fácil en este tipo de eventos). Además, la ciudad de Montpellier, sumergida en una bellísima temática navideña, fue la perfecta anfitriona. ¡Nos vemos el próximo año en Toulouse!